DevOps專業人員如何成為網絡安全擁護者

打破信息孤島，成為網絡安全領域的擁護者，將會對您、您的職業以及您的企業組織產生有利影響。

安全是DevOps中一個被誤解的元素，有些人認為，它不在DevOps的職權范圍之內，而另一些人則認為，它足夠重要(并且經常被忽視)，因此建議您改為使用DevSecOps。不過，無論您認同哪一方的觀點，一個很明顯的事實是，網絡安全都會影響到我們每一個人。

每一年，有關攻擊行為的統計數據總是令人大為震驚。例如，每39秒就會有一次黑客攻擊行為發生，這可能會導致您為公司編寫的日志記錄、身份信息以及專有項目被盜。您的安全團隊可能需要花費幾個月(甚至可能永遠找不到)的時間，才能發現幕后黑手的身份、丟失了什么、哪里被攻破了、以及什么時間被攻破的。

面對這些棘手問題，運營專家應該做些什么?按照我的想法，我們是時候成為網絡安全的擁護者，變為解決方案的一部分了。

破除藩籬：讓部門之間不撕皮

在與IT安全團隊一起肩并肩作戰的數十年里，我注意到了很多事情。一個很大的問題是，DevOps和安全團隊之間的關系通常劍拔*張。究其原因，這種緊張關系幾乎都是源于安全團隊為了保護系統、防范漏洞所作出的努力(例如，設置訪問控制或者禁用某些東西)，而這些努力會中斷DevOps的工作并阻礙其快速部署應用程序的能力。

對于這一點，我相信每個人應該都經歷或者說看到過。一小撮的怨恨最終燒毀了雙方信任的橋梁，要么是花費一段時間修復，要么就是兩個團體之間開始一場小型的地盤爭奪戰，這個結果會使DevOps實現變得更加困難。

換位思考

為了打破這些孤島并結束互相撕皮的現象，我在每個安全團隊中都選了至少一個人來交談，以了解我們組織日常安全運營里的來龍去脈。我最開始是出于好奇才做的這件事，但讓我繼續做下去的原因是，它總是能帶給我一些有價值的新觀點。例如，我了解到，對于每個因安全性問題而被叫停的部署，IT安全團隊都在竭力修復其所發現的其他10個問題。他們反應的莽撞和尖銳是因為他們必須在有限的時間里修復這些問題，否則這些問題就會變成一個大問題。

考慮到發現、識別和撤銷已完成操作所需的大量知識，或者指出 DevOps 團隊正在做什么(沒有背景信息)然后復制并測試它。所有這些工作通常都要由人手配備嚴重短缺的安全團隊完成。

這就是您的安全團隊的日常生活，而這一切，您的DevOps團隊根本無法看到，更談何理解。IT安全團隊的日常工作可能意味著超時加班和過度勞累，以確保公司、公司的團隊以及團隊正在進行的所有項目安全運行。

成為安全擁護者的方法

當您成為了自己的安全團隊的擁護者之后，便可以成為他們的助力而不再是絆腳石。這也就意味著，對于您做的所有操作，您必須仔細、認真地查看所有能夠讓其他人登錄的方式，以及他們能夠從中獲得什么。

幫助您的安全團隊就是在幫助您自己。將工具添加到您的工作流程中，以此將你知道的要干的活和他們知道的要干的活結合到一起。從小事入手，例如閱讀公共漏洞披露(CVE)，并將掃描模塊添加到你的 CI/CD 流程里。對于您構建的所有內容，都會有一個開源掃描工具，從長遠來看，添加小型開源工具(例如下面列舉的工具)是可以讓項目變得更好的。

容器掃描工具：

• Anchore Engine——Anchore是一款針對容器的安全掃描的工具，能對應用容器的脆弱性進行靜態掃描，同時支持whitelist/blacklist以及評估策略的設定。
• Clair——Clair是由coreos所推出的一款針對容器的安全掃描的工具，能對應用容器的脆弱性進行靜態掃描，同時支持APPC和DOCKER。
• Vuls——Vuls 是一款適用于 Linux/FreeBSD 的漏洞掃描程序，無代理，采用 Go 語言編寫，能夠通知用戶與系統相關的漏洞;通知受影響的服務器的用戶;自動執行漏洞檢測;使用 CRON 或其他方法定期生成報告;管理漏洞等等。
• OpenSCAP——OpenSCAP由Redhat主導開發，是一個整合了SCAP中各標準的開源框架，其為SCAP的使用者提供了一套簡單易用的接口。OpenSCAP實現了對SCAP數據格式的解析以及執行檢查操作所使用的系統信息探針，它能夠讓SCAP的采納者專注于業務實現，而不是處理一些繁瑣的底層技術。目前OpenSCAP最新版本完全支持SCAP 1.0規范中的全部標準。

代碼掃描工具：

• OWASP SonarQube——SonarQube 是一個開源的代碼分析平臺，用來持續分析和評測項目源代碼的質量。通過SonarQube我們可以檢測出項目中重復代碼、潛在bug、代碼規范、安全性漏洞等問題，并通過SonarQube web UI展示出來。
• Find Security Bugs——Find Security Bugs是一款用于審計Java Web應用程序和Android應用FindBugs插件。
• Google Hacking Diggity Project——Google Hacking Diggity是一個利用搜索引擎(如Google、Bing)快速識別系統弱點和敏感數據的工具集項目。

Kubernetes 安全工具：

• Project Calico——Calico為容器和虛擬機工作負載提供一個安全的網絡連接。它可以創建并管理一個3層平面網絡，為每個工作負載分配一個完全可路由的IP地址。工作負載可以在沒有IP封裝或網絡地址轉換的情況下進行通信，以實現裸機性能，簡化故障排除和提供更好的互操作性。
• Kube-hunter——Kube-hunter是由Aqua推出的一款工具，利用 Kube-hunter 可以進行免費 Kubernetes 環境滲透測試，在 Kube-hunter 網頁中，系統會列出使用者環境出現的漏洞、嚴重性，以及問題的描述。利用 URL，企業用戶也可以與組織內其他成員分享掃描結果。
• NeuVector——Neuvector可以提供主機和pod的連續運行時保護，它可以通過掃描Kubernetes集群、節點、pod以及容器鏡像來保護容器不受安全漏洞的影響。

保持你的DevOps態度

如果您正在擔任與DevOps相關的職務，那么學習新技術以及如何運用這項新技術創造新事物就是您工作的一部分。安全也是一樣的。在DevOps安全方面，我始終緊跟時代發展步伐，下面是我的學習秘訣：

• 每周閱讀一篇有關您所從事的工作與安全性相關的文章;
• 每周查看CVE官方網站，了解出現了什么新漏洞;
• 嘗試做一次黑客馬拉松(Hackathon)——通常是一種連續、集中式的編程活動，由報名人員組隊參賽并且在規定的時間內完成計劃的活動。一些公司每個月都要這樣做一次;如果您覺得還不夠、想了解更多，可以訪問 Beginner Hack 1.0 網站;
• 嘗試每年至少與您的安全團隊成員一起參加一次安全會議，學會從他們的角度來看事情。

成為擁護者是為了更好的未來

您應該成為自己團隊的安全擁護者的原因有很多，首先也是最重要的是增長您的知識，并且幫助您的職業發展。第二個原因是幫助其他的團隊，建立新的關系，并打破對您的組織有害的孤島現象。在整個組織內建立友好關系有很多好處，包括樹立溝通團隊的典范，并鼓勵人們一起工作。同時，您還能促進在整個組織中分享知識，并給每個人提供一個在安全方面更好的內部合作的新契機。

總的來說，成為一個網絡安全的擁護者會讓您成為您整個組織的擁護者。